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(54) Signaturverfahren 

(57) Die Erfindung betrifft ein Verfahren zur Sicher- 
stellung der Datenintegritat einer Software fur ein Steu- 
ergerat eines Kraftfahrzeugs, in dem in einem Speicher 
des Steuergerats eine das Steuergerat in seiner Wir- 
kungsweise beeinflussende Software speicherbar ist. 
Es wird vorgeschlagen, ein Schlusselpaarzum Ver- 
n elektronischen Daten bereitzu- 



stellen, den ersten Schlussel in einem oderfurein Steu- 
ergerat in dem Kraftfahrzeug zu hinterlegen, mit dem 
zweiten Schlussel eine einzuspielende Software zu si- 
gnieren, die signlerte Software in den Speicher des 
Steuergerates einzuspielen und die Signatur der Soft- 
ware mittels dem in Oder fiir das Steuergerat hinterleg- 
ten Schlussel zu uberpriifen und dann zu akzeptieren, 
wenn die Oberprufung mit posltivem Ergebnls verlauft. 
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Beschrelbung 

[0001] Die Erfindung betrifft ein Verfahren zur Sicherstellung der Datenintegritat einer Software fur ein Steuergerat 
eines Kraftfahrzeugs. 

5 [0002] Mtt dem zunehmenden Anteil der Elektronlk und der Kommunikationsmoglichkelten im und mit einem Fahr- 
zeug wachsen auch die Anforderungen, welche an die Sicherheit gestellt werden miissen. 
[0003] In den verschiedensten Bereichen des Fahrzeugs werden Microcontroller zur Steuerung eingesetzt. Diese 
Steuergerate sind heutzutage oft uber ein Bussystem miteinander verbunden, und es gibt meist Moglichkeiten (z.B. 
Diagnoseverbindung), von auBen auf diesen Bus zuzugreifen und mit den einzelnen Steuergeraten zu kommunizieren. 

w [0004] Die Funktionsweise der Steuergerate wird durch Softwareprogramme bestimmt. Bisher ist die Software, die 
in einem Steuergerat (auch: Controller) eingesetzt wird, meist in einem nicht programmierbaren Speicher abgelegt (z. 
B. bei maskenprogrammierte Mikroprozessoren). Dadurch ist eine Manipulation der Software nicht ohne weiteres zu 
realisieren. Beispielsweise kann der komplette Austausch eines Speioherbausteins gegen einen anderen Speicher- 
baustein erkannt und entsprechend darauf reagiert werden. 

'5 [0005] Durch den zukiinftigen Elnsatz von programmierbaren, insbesondere sogenannten flashprogrammlerbaren 
Steuergeraten im Fahrzeug wird die Gefahr jedoch groBer, daB unbefugte Manipulatlonen an der Software und somit 
an der Arbeitsweise der Steuergerate durchgefiihrt werden. So konnte der Austausch von Software seitens nicht au- 
torisierter Personen elnfach durch Neuprogrammierung mit geringem Aufwand vollzogen werden. 
[0006] Aus Slcherheitsgriinden und zur Erfullung von gesetzlichen Anforderungen miissen jedoch MaBnahmen er- 

so griffen werden, die entweder eine Veranderung von Originalsoftware verhindern oder eine solche Anderung nur auto- 
risierten Personen zugestehen. 

[0007] Im ubrigen konnte es sich zukiinftig als vorteilhaft erwelsen, ein Gleichteile-Konzept zu Verfolgen, wobei bel 
unterschledlichen Modellen gleiche Hardware verwendet wird. Der Unterschied in der Funktionsweise liegt dann nur 
noch in der Software. Bei diesem Konzept besteht freilich die Nolwendigkeit, daB eine bestimmte Software nur auf 

25 einem individuellen Fahrzeug lauffahig ist und nicht einfach kopierbar sein darf. 

[0008] Aus dem Stand der Technik slnd eine Vielzahl von Authentif izierungsverfahren und -vorrichtungen bekannt. 
[0009] So ist in der US 5,844,986 ein Verfahren beschrieben, welches zur Vermeidung eines nicht erlaubten Eingriffs 
in ein BIOS-Systems eines PC verwendet wird. Ein kryptographischer Coprozessor, der einen BlOS-Speicher enthalt, 
fQhrt basierend auf einem sogenanten Publik-Key-Verfahren mit einem offentlichen und einem geheimen Schlussel 

30 eine Authentifizierung und Uberpriifung einer BIOS-Anderung durch. Dabei erfolgt die Uberpriifung durch eine Priifung 
einer in der einzuspielenden Software eingebetteten digitalen Signatur. 

[0010] Aus der EP 0 81 6 970 ist eine Vorrichtung zur Uberpriifung einer Fimnensoftware bekannt. Diese Vorrichtung 
zur Authentifizierung eines Boot-PROM-Spelchers umfaBt einen Speicherteil mit einem Mikro-Code. Ein Authentifizie- 
rungs-Sektor umfaBt einen Hash-Generator, der Hash-Daten in Antwort auf die Ausfiihrung des Mikro-Codes erzeugt. 
35 [0011] Mit den obigen Verfahren oder Vorrichtungen ist jedoch nicht unmittelbar die Oberpriifung einer in ein Steu- 
ergerat eines Kraftfahrzeuges einzuspielenden Software mdgllch. 

[0012] Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zur Sicherstellung der Einspielung einer authenti- 
schen Software in ein Steuergerat eines Kraftfahrzeugs zur Verfiigung zu stellen. 
[0013] Die Aufgabe wird durch die Merkmale im Anspruch 1 gelost. 
40 [0014] DemgemaB wird zunachst ein Schlusselpaar zum Ver- und Entschliisseln von elektronlschen Daten erzeugt. 
Unter Schlussel versteht man hierbei allgemein Codier-und/oder Decodierparameter, welche aus an sich bekannten 
kryptographischen Algorithmen bekannt sind. 

[0015] Vorliegend wird die Software mlttels des ersten Schliissels mit einer elektronlschen Unterschrift (Signatur) 
versehen. Zur Verifikation der Echtheit der Software ist in dem oder fur das Steuergerat, in dem diese Software ein- 
45 gespielt werden soli, ein zugehorigerzweiter Schlussel hinteriegt, Mit diesem zweiten Schlussel kann die elektronische 
Unterschrift der Software gepriift werden. Verlauft die Priifung positiv, so wird die Software akzeptiert und kann zur 
Steuerung des Steuergerates herangezogen werden. 

[0016] Als Verschliisselung kann gemaB einer ersten Ausfiihrungsform ein sogenanntes symmetrisches Verfahren 
verwendet werden, bei dem beide Schlussel identisch sind. Elgentlich handelt es sich dabei also nur urn einen Schliis- 
50 sel, der an verschiedenen Stellen verwendet wird. Da aber immer mit Moglichkeiten gerechnet werden muB, daB ein 
in einem Steuergerat hinterlegter Schlussel bekannt wird, ist die Sicherheitsstufe eines symmetrischen Verfahren nicht 
optimal. Ein solches Verfahren kann nur daher dann eingesetzt werden, wenn nicht allzu sicherheitskritischeVorgange 
betroffen sind. Zur Erhohung der Sicherheitsstufe kann ein zusatzlicher Auslosesohutz In Form einer speziellen Hard- 
ware eingesetzt werden. 

55 [0017] GemaB einer weiteren bevorzugten Ausfiihrungsform wird ein asymmetrisches Verschlusselungsverfahren 
mit einem geheimen und einem offentlichen Schlussel gewahlt. Dabei kann der offentliche Schlusel im oder fur das 
Steuergerat hinteriegt sein. Mit dem geheimen Schlussel wiirde dann die Software signiert werden. Altemativ kann 
auch das Steuergerat oder das Fahrzeug selbst das asynchrone Schlusselpaar erzeugen und dann den geheimen 
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Schliissel in dem Steuergerat hinterlegen. Der offentliche Schltissel muBte dann auslesbarsein, so daB mlt ihm eine 
Software signiert werden kann. Natiirlich miiBte bei der letzten Alternative sichergestellt werden, daB der geheime 
Schlussei nicht auslesbar ist. 

[001 8] Bei den Verschliisselungsalgorithmen mit einem geheimen und einem offentlichen Schlussei handelt es slch 
5 um ein sogenanntes Public-Key-Verfahren, bei dem der offentliche Schlussei offentlich bekannt sein dart, wogegen 
der geheime Schlussei nur einer autorisierten Stelle, belspielsweise einem Trust-Center, bekannt ist. Solche krypto- 
graphischen Algorithmen sind z.B. Rivest, Shamir und Adleman (RSA-Algorithmus), Data Encryption Algorlthmus 
(DEA-Algorithmus) und dergleichen Algorithmen. Mit dem geheimen oder offentlichen Schlussei laBt sich - analog zur 
handschriftlichen Unterschrift - eine digitale Signaturzu einem elektronischen Dokument erzeugen. Nur der Besitzer 
10 des geheimen bzw. offentlichen Schliissels kann eine giiitige Signatur erstellen. Die Echtheit des Dokuments kann 
dann iiber die Verifikation der Unterschrift mittels des zugehorigen offentlichen bzw. geheimen Schliissels gepriift 
werden. Der geheime Schlussei wird manchmal auch als privater Schlussei bezeichnet. 

[0019] Ein nicht autorisierter Dritter, der den richtigen Schlussei nicht kennt, ist nicht in der Lage, eine giiitige Signatur 
zu erstellen. Wird eine manipulierte und nicht richtig unterzeichnete Software dann in ein Steuergerat geladen, so wird 
is dies mlt dem zugehorigen Schlussei erkannt, und das Steuergerat wird belspielsweise in einen nicht-lauffahigen Zu- 
stand versetzt. 

[0020] GemaB einer weiteren Ausfuhrungsform der Erfindung wird der Schltissel im Boot-Sektor des Steuergerats 
abgelegt. Der Boot-Sektor ist melst In besonderer Weise geschiitzt und kann nicht ohne weiteres iiberschrieben wer- 
den. GemaB einer Weiterbildung kann der Boot-Sektor nach dem Beschreiben und der Eingabe des Schliissels "ab- 

20 gesperrt" werden, so daB ein weiterer Zugriff, insbesondere ein weiteres Beschreiben, nicht mehr moglich ist. Damit 
wiirde sichergestellt werden, daB der im Boot-Sektor abgelegte Schlussei gegen Manipulation geschiitzt ist. 
[0021] Um die Anforderungen eines ausschlieBlich fahrzeugindividuellen Einsatzes einer Software zu ermoglichen, 
enthalt die fiir ein Steuergerat eines bestimmten Fahrzeugs vorgesehene Software fahrzeugindividualislerende Infor- 
mationen, belspielsweise die Fahrgestellnummer oder andere fahrzeugindividuelle Daten. Diese Informationen sind 

25 der Software zugeordnet oder in dlese integriert. Erst nach derZuordnung oder Integration dieser Daten zur bzw. in 
die Software wird diese dann mit dem dafiir vorgesehenen Schlussei signiert. Ein Steuergerat akzeptiert - wie oben 
beschrieben - nur dann die Software, wenn die Signatur mit dem anderen zugeordneten Schliissel als einwandfrei 
erkannt wird. Da die Signatur von der in der Software enthaltenen fahrzeugindividuellen Information abhangt, kann 
dlese nicht nachtrflglich verandert werden. Es kann nur eine Software lauffahig fur ein Steuergerat eines Fahrzeugs 

30 eingespeist werden, wenn die fahrzeugindividuelle Information nicht verandert ist und mit derjenigen des Fahrzeugs 
tatsachlich ubereinstimmt. Ein Kopieren einer solch fahrzeugindividualisierten Software auf ein anderes Fahrzeug ist 
damit unmogllch, da die fahrzeugindividuelle Information ohne Verletzung der Signatur nicht verandert werden kann. 
[0022] Um nicht jedesmal beim Start eines Fahrzeugs und dem Hochlaufen der Steuergerate eine Uberpriifung der 
Software durchfiihren zu miissen, wird eine solche Uberpriifung vorzugsweise zumindest beim Einspielen durchge- 

35 fuhrt. Bei einer einwandfrei signierten Software kann diese dann entsprechend gekennzeichnet werden, beispielsweise 
durch das Setzen eines sonst nicht zu beeinflussenden Flags in dem Steuergerat. Nach dem Setzen dieses Flags ist 
die Software auch bei weiteren Hochlaufen akzeptiert. Auf diese Weise konnen Verzogerungen beim normalen Fahr- 
zeugstart vermieden werden. Sicherzustellen ist hierbei jedoch, daB dieses Flag nicht von auBen zu beeinflussen ist. 
[0023] Um eine weitere Sicherheitsstufe beim Einspielen von Software in den Speichern des Steuergerates zu schaf- 

40 fen, sollte gemaB einer weiteren Ausfuhrungsform der Erfindung vor dem Einspielen der Software ein Zugang zum 
Speicher des Steuergerates nur mit entsprechender Berechtigung moglich sein. Dazu ist vor dem Uberspielen der 
signierten Software ein "AufschlieBen" des Steuergerates in einem Anmeldeschritt vorgesehen. Bei der Verwendung 
unterschiedlicherZugangslevel bei der Anmeldung konnten iiberdies verschieden ausgestaltete Zugriffsrechte verge- 
ben werden. Bei einem Diagnosezugriff ware beispielsweise zunachst eine Anmeldung notwendig, wodurch das Steu- 

45 ergerat iiber die eingegebene Zugangsinformation die Zugriffsrechte und die damit verbundene Berechtigungsstufe 
erkennt. Je nach Rechtevergabe konnen die Zugriffsberechtigungen von unkritisch bis sehr kritisch eingestuft werden. 
GemaB einer Ausfuhrungsform wird ein Code vom Steuergerat angefordert und auf Giiltigkeit iiberpriift. Dazu kann 
beispielsweise eine Zufallszahl im Steuergerat generiert werden, die dann vom Zugreifenden in verarbeiteter Weise, 
z.B. anders codiert oder signiert, zurtickgereicht wird. Im Steuergerat wird diese Information dann, beispielsweise 

so mittels eines eigenen Authentifizierungsschliissel, iiberpriift. 

[0024] Es ist auch moglich, die Zugriffsrechtevergabe dynamisch zu gestalten. Beispielsweise konnen Zugangszer- 
tifikate vergeben sein, aus deren Zertifikatsinformationen die Zugangsstufe hervorgeht. Wird ein Zugangszertifikat 
dann einmal akzeptiert, was wiederum iiber die Priif ung einer Signatur mit einem Schliissel geschehen kann, so werden 
darin aufgelistete Rechte zugestanden. 

55 [0025] Ein evtl. ausschlieBlich fur die Zugriffssteuerung vorgesehenes Steuergerat sollte gegeniiber den ubrigen 
Steuergeraten wegen derzentraien Sicherheitsfunktion hinsichtlich der Vergabe von Authentifizierungsrechten nicht 
frei zuganglich im Kraftfahrzeug angeordnet sein, da durch den physlkallschen Ausbau eines Steuergerates die oben 
beschriebenen Schutzmechanismen umgangen werden konnten. Ein besonderer, beispielsweise mechanischer Aus- 
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bauschutz, elnes solchen Sicherheitssteuergerates ist daher wunschenswert. 

[0026] Darilber hinaus kann eine besondere Sicherheitsstufe auch durch die Gestaltung eines Steuergerateverbun- 
des erreicht werden, bei dem verschiedene Steuergerate zusammengeschaltet sind und sich bedingen bzw. gegen- 
seitig iiberpriifen. 

[0027] Um ferner die Gefahr auszuschlieBen, daB einzelne Steuergerat ausgebaut und gegen ein anderes ersetzt 
werden, kann zusatzlich ein eigener Steuergerateausbauschutz sinnvoll sein. Zu diesem Zweck wlrd beispielsweise 
in elnem Fahrzeug, in dem die Steuergerate integriert sind, sporadisch eine Steuergerate-Authentitatsprufung durch- 
gefuhrt. Dazu wird eine Anfrage an Steuergerate gerlchtet, die diese mit einer bestimmten erwarteten Information 
beantworten mussen. Stimmt die tatsachlich von dem zu uberpriifenden Steuergerat abgegebenen Information nlcht 
mit der erwarteten Information uberein oder antwortet das Steuergerat nicht, so werden geeignete 
SicherungsmaSnahmen ergriffen. Bei nicht sicherheitskritischen Steuergeraten kann das Steuergerat beispielsweise 
aus dem Kommunikationsverbundausgesohlossen werden. Ist das Steuergerat fur den Betrieb des Fahrzeugs wlchtig, 
so wird es beispielsweise registriert, markiert oder in eine Liste eingetragen, so daS die hardwaremaBige Manipulation 
am jeweiligen Steuergerat zumindest nachvollzogen werden kann. Bei einer Ausfuhrungsform mOssen die Steuerge- 
rate auf Anfrage mittels elnes geheimen Authentifikationsschlussel antworten. Ein Illegal ausgetauschtes Steuergerat 
verfiigt uber einen solchen Schlussel nicht und wird dann erkannt und entsprechend behandelt. 
[0028] Die vorliegende Erfindung wird nachfolgend anhand von Ausfuhrungsbeispielen und mit Bezug auf die bei- 
liegenden Zelchnungen naher erlautert. Die Zeichnungen zeigen in 



Figur 1 eine schematische Darstellung einer Steuergeratestruktur in einem Fahrzeug, 

Figur 2a und Figur 2b eine schematische Darstellung des Ablauts einer digitalen Signatur einer Software sowle 
deren Oberpriifung, 

Figur 3a und Figur 3b eine Darstellung des Ablauts der digitalen Signatur der Software aus Figur 2 jedoch In 
anderer Darstellungsweise, 

Figur 4 eine Darstellung des Ablauts der Erstellung einer Signatur durch ein Trust-Center, 

Figur 5 eine Darstellung eines Algon'thmus fur spezielles Uberpriifungsverfahren von fahrzeugin- 

dividuellen Informationen, 

Figuren 6a und 6b ein Schaltblock- und Ablaufdiagramm fur eine Authentifizierung gegeniiber einem Steu- 

ergerat und 

Figur 7 ein Ablaufdiagramm fur ein Einlesen von Software in ein Steuergerat. 



[0029] In Figur 1 ist in blockdiagrammweise eine Steuergeratestruktur mit miteinander vernetzten Einheiten abge- 
bildet. Das Boardnetz besteht hlerbei aus mehreren Teilnetzen (LWL-Most, K-CAN System, Powertrain-CAN etc.), die 
zum Tell unterschiedliche Ubertragungsgeschwindigkeiten besitzen und durch sogenannte Gateways (Zentrales Ga- 
teway Modul, Controller Gateway) miteinander verbunden sind. 

[0030] Mittels des Zentralen Gateways 1 4 ist ein Diagnosebus 1 6 mit alien ubrigen Netzen mittelbar oder unmittelbar 
gekoppelt. Der Diagnosebus 1 6 stelit eine der wlchtigsten Verbindungen zur Umwelt dar. Uber einen Diagnosetester, 
der an einer OBD-Steckdose am Ende des Diagnosebuses 1 6 angeschlossen ist, und unter Zwischenschaltung des 
zentralen Gateways 14 konnen samtliche Controller, Gateways und Steuergerate im gesamten System angesprochen 
werden. 

[0031] Altemativ besteht die Mogilchkeit, uber das GSM-Netz 20 und ein Telefonsystem 18 Im Fahrzeug auf die 
Gerate im Fahrzeug zuzugreifen. Damit ist prizipiell ein Remotezugriff auf das Fahrzeug-Boardnetz moglich. Das Te- 
lefonsystem 18 steilt hlerbei ebenfalls ein Gateway zwischen dem Mobilfunknetz (GSM-Netz) und den ubrigen Fahr- 
zeugbusteilnehmern dar. 

[0032] Im Fahrzeugbus Integriert ist ein Car-Access-System (CAS) 22, das den Zutritt zum Fahrzeug iiberwacht. Es 
beinhaltet als weitere Funktion eine elektronische Wegfahrsperre. 

[0033] Ein Controller Gateway 21 stelit eine Schnittstelle zwischen einem CD-Player und dem Bordnetz dar. Belm 
Controller Gateway 21 werden auch Eingaben, die der Fahrer uber die verschiedenen Instrumente macht, in Nach- 
richten umgesetzt und an die jeweils angesprochenen Steuergerate weitergeleitet. 

[0034] Daneben sind mehrere Steuergerate (STG1 bis STG5) Steuergeraten dargestellt. Die Aufgabe eines Steu- 
ergerates besteht nicht nur in der Steuerung einer bestimmten Einheit Im Fahrzeug, sondem auch In der Kommuni- 
kation zwischen den Geraten selbst. Die Kommunikation im Fahrzeug ist "Broadcast orientiert". Ein Erzeuger von 



EP1 128 242 A2 



Informationen, derden Buszugriff gewonnen hat, sendet seine Informationen grundsatzlich an alle Steuergerate. Der 
Datenbus, der mit dem Controller verbunden 1st, wlrd dazu permanent abgehort. Bei einer Kommunikation mlt der 
Umwelt hingegen, beisplelsweise iiber den Diagnosebus, wird jedes Steuergerat mit elner eindeutigen Adresse gezielt 
angesprochen. 

s [0035] Die Software, die die Funktionalitat der Steuereinheit bestimmt, 1st in Zukunft iiberwiegend in einem program- 
mierbaren Speicher, beisplelsweise in einem Flash-Speicher, untergebracht. Bei einer Flashprogrammierung konnen 
nur ganze Blocke geloscht und neu beschrieben werden. Das Loschen elnzelner Bits 1st nioht moglich. Je naoh Steu- 
ergeraten werden untersohledliohe Arten von Mikrocomputern eingesetzt. Je nach Anforderungen sind dies 8-Bit, 1 6-Bit 
oder 32-Bit-Prozessoren. Alle dlese Steuergerate oder Controller sind in unterschiedllchen Varianten verfiigbar. Sie 

10 weisen beispielsweise einen Flash-Speicher auf dem Board oder direkt im Prozessor selbst integriert auf. 

[0036] Der Ablauf elner Sicherstellung der Datenintegritat einer Software fur ein Steuergerat mit einem Flash-Spei- 
cher ist nachfolgend anhand der Fig. 2a und 2b naher dargestellt. 

[0037] Zunachst wird in einem ersten Schritt von einer einzigen autorislerten Stelle, beispielsweise in einem soge- 
nannten Trust-Center, ein Schliisselpaarbestehend aus einem offentlichen Schliissel 58 und einem geheimen Schlils- 

'5 sel 52 bereitgestellt. Ein Schliissel ist dabei ein elektronischer Code, mlt dem eine Information ver-und/oder entschliis- 
selt werden kann. Beispielsweise verwendet man dabei bekannte kryptographlsche Algorithmen, wie die berelts oben 
erwahnten RSA oder DEA Algorithmen, also sogenannte "Public-Key-Algorithmen" mit asynchronen Schliisselpaaren. 
[0038] Zunachst soli naher auf die verwendete Verschliisselung eingegangen werden. Bei dem vorllegenden Au- 
thentifizierungsverfahren wird eine asynchrone Verschliisselung bevorzugt. Bel symmetrischen Schlusseln muB jede 

20 Seite im Besitz des "Geheimnisses" sein. Sobald ein synchroner Schliissel neben den autorisierten Stellen auch noch 
Dritten bekannt ist, kann keine einwandfreie Sicherungsvorkehrung garantiert werden. Da ein Schlussel des Schliis- 
seipaares bei dem vorllegenden Verfahren jedoch im Steuergerat eines Kraftfahrzeugs abgespelchert sein muB und 
somit dessen Geheimhaltung nicht sichergestellt werden kann, ist die Wahl eines symmetrischen Schliisselpaares 
nicht ratsam. 

25 [0039] Im Gegensatz zu der symmetrischen Verschliisselung entwlckelten W. Dlffie und M. Hellman 1 976 die soge- 
nannte Public-Key-Kryptografie. Bei dieser Verschliisselungsart wird ein Schliisselpaar mit einem offentlichen und 
einem geheimen Schlussel erzeugt. Mit dem geheimen Schlussel kann man eine Signatur eines elektronischen Do- 
kumentes durchfuhren. Diese Signatur ist einzigartig und kann in der Ftegel nicht nachvollzogen werden. Mit dem . 
offentlichen Schlussel kann die Signatur iiberpriift werden. 

30 [0040] Das Public-Key-Verfahren hat den Vorteil, daf3 ein Schliissel des Schliisselpaares offentlich bekannt sein . . 
dart Da die heute bekannten Public-Key-Verfahren aber sehr rechenintensiv sind, verwendet man haufig Hybrid-Ver- 
fahren, also eine Kombination aus symmetrischen und asymmetrlschen Verfahren. Bei dem Hybrid-Verf ahren wird ein 
symmetrischer Schlussel mittels eines Public-Key-Verfahrens zwischen den Kommunikationspartnern ausgetauscht. 
Die eigentliche Kommunikation wird dann mit dem symmetrischen Schliissel verschlusselt. 

as [0041] Durch die Trennung von geheimen und offentlichen Schlusseln lassen sich Authentifizierungsverfahren und 
digitale Signaturen wieoben beschrieben reallsieren. Durch den Besitz des geheimen Schlussels laBtsich eine Identitat 
eindeutig nachweisen, und es kann eine Signatur, wie bei einer handschriftlichen Unterschrift erstellt werden. Ein 
bekanntes Public-Key-Kryptosysteme ist das oben bereits erwahnte RSA-Verfahren. Andere Public-Key-Krypto-Ver- 
fahren beruhen auf Problemen in bestimmten mathematischen Gruppen, Logarithmen zu berechnen (Diskreter-Log- 

40 arithmus-Problem). 

[0042] Urn ein Dokument digital zu signieren, verschlusselt die alleinig autorisierte Stelle das Dokument mit dem 
geheimen Schlussel und hangt einen Signaturwert an das Dokument an. Zur Verifikation der Signatur wie die Signatur 
mit dem offentlichen Schlussel entschlusselt und der resultierende Wert mit dem urspriingllchen Dokumentenwert 
verglichen. Stimmen beide Dokumentenwerte iiberein, so ist die Signatur giiltig und die Software kann akzeptiert wer- 
45 den. 

[0043] Vorliegend ist jeweils ein offentlicher Schlussel von der autorisierten Stelle bei der Fahrzeugproduktion in 
jedem Steuergerat eines Fahrzeugs, welches beziiglich der Software modifizierbar sein soli (z.B. Getrlebesteuergerat), 
abgespeichert. 

[0044] Ein Kunde bestelit nun bei einem Handler 1 00 (vgl. Fig. 4) eine bestimmte zusatzllche Funktion fur sein Kraft- 
so fahrzeug, beispielsweise eine bestimmte Schaltcharakteristikbei der Auswahl der Obersetzungsstufen. Diese Funktion 

kann durch die Einspielung neuer Software in ein Getriebesteuergerat des jeweiligen Fahrzeugs realisiert werden. 

[0045] Der Handler 1 00 stellt daraufhin eine entsprechende Software 150 zur Verfugung und sendet diese zusammen 

mit der Fahrgestellnummer des Fahrzeugs des Kunden zum Trust-Center 104, welches alleinig berechtlgt 1st, dlese 

Software zu unterzeichnen (signieren). im Trust-Center 1 04 wird die Software zusammen mit der iibermittelten Fahr- 
55 gestellnummer mit dem geheimen Schlussel signiert. 

[0046] Diese Vorgehensweise ist auch in Fig. 2a dargestellt (Software 50, geheimer Schliissel 52), wobei hier jedoch 

keine Fahrgestellnummer iibermitteit wlrd. 

[0047] Die signierte Software 106 (vergl. Fig. 4 und Bezugszeichen 56 in Fig. 2a) wird dann an den Handler 100 
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zuriickiibermittelt, welchersie ins Kraftfahrzeug 12 des Kunden einspielen kann. 

[0048] Die Obermittlung an das Trust-Center 1 04, die Signierung und das Zuriickiibermitteln kann auf elektronischem 
Weg relativ schnell geschehen. 

[0049] Im nachsten Schritt wird die signierte Software 56, 1 06 vom Handler 1 00 in das Fahrzeug 1 2, besser in das 
s Getriebesteuergerat, eingespielt. Die Obertragung kann uber den Diagnosesteoker und den Diagnosebus 1 6 erfolgen. 
Alternativ kann eine Einspielung auch uber das GSM-Netz ferngesteuert erfolgen. 

[0050] Beim Einspielen erfolgt zunachst eine Anmeldung und Identifizierung des Handlers (vgl. Schritt 500 In Fig. 
7). Dazu sendet der Handler 1 00 eine Steuergerateadresse und eine zugehorige Kennung an das Fahrzeug. Bei er- 
folgreicher Identifizierung wird das Steuergerat (hier: das Getriebesteuergerat) zum Einlesen von neuer Software be- 

10 reitgeschaitet. Damit ist das Einlesen (auch Flashen) von neuer Software in das Steuergerat moglich (vgl. 502 in Fig. 
7). Nach dem Einspielen der neuen Software in das Steuergerat hat der Handler 100 seinen Teil gelelstet. 
[0051] Beim nachsten Betrieb uberpriift das Steuergerat 24 (Fig. 2) beim Hochlaufen die Signatur der eingespielten 
neuen Software 56 mittels des offentlichen Schlussels 58. Dies wird anhand von Fig. 2b naher erlautert. Mit dem 
offentlichen Schliissei 58 wird aus der Signatur in einer Einheit 60 des Steuergerates 24 eine GroBe bestimmt, die mit 

is dem elektronlschen Dokument 62, welches verschliisselt worden ist, ubereinstimmen mul3. Diese Obereinstimmung 
wird in elnem Komparator64 gepriift. Ist eine Obereinstimmung gegeben, so wird die elngespielte Software 50 akzep- 
tiert und das Steuergerat 24 mit dieser Software betrieben. Ist keine Obereinstimmung gegeben, so wird das Steuer- 
gerat 24 marklert und in elner Liste abgespeichert. Bei einer Diagnose konnen die Daten dieser Liste dann ausgelesen 
werden. Es wird dann eine weitere Gelegenheit zum Einspielen korrekter Software gegeben. Wird keine korrekt sl- 

20 gnierte Software eingespielt, kann das Fahrzeug nicht weiter betrieben werden. 

[0052] In den Fig. 3a und 3b ist die Ver- und Entschlusselung etwas genauer dargestellt. Bei der Signatur derSoftware 
wird nicht die gesamte Software signiert. Dies ware inefflzlent. Vielmehr wird aus der Software uber eine an sich 
bekannte Hash-Funktion ein sogenannter Hash-Code 51 generiert, bei dem es sich urn eine digitate Information mit 
vorgegebener Lange handelt. Je nach Sicherheitsbediirfnis kann eine Lange von z.B. 1 6 Bit, 64 Bit oder 128 Bit gewahlt 

25 werden. Erst dieser Hash-Code 51 wird dann signiert (Signatur 54) und die Signatur an die Software 50 angehangt. 
Die Signierung des Hash-Codes ist wesentlich effizienter als die Signatur von langen Software-Dokumenten. 
[0053] Die Hash-Funktionen haben dabei folgende wesentliche Eigenschaften: Es ist schwer, zu gegebenem Hash- 
Wert h einen Wert M eines Dokuments zu finden (Einwegfunktion). Zudem ist es schwer, eine Kollision, d.h. zwei Werte ; 
mit M und M', bei denen die Hash-Werte gleich sind, zu finden (Kollisionsresistenz). ,.„, 

30 [0054] Bel der Oberpriifung der Signatur 50 wird durch Anwenden des offentlichen Schlussels auf die Signatur (Be- , 
zugszeichen 53 in Fig. 3b) ein Hash-Wert 51' ermittelt, der mit dem tatsachlichen Hash-Wert 51 der Software 50 in , 
einem Komparator 66 verglichen wird. Stimmen beide Hash-Werte uberein, so wird die Software 50 akzeptiert. Es 
handelt sich dann urn eine authentische Software und das Steuergerat kann mit der eingespielten Software betrieben 
werden, Ist der Vergleich nicht positiv, bricht das Steuergerat seinen Betrieb ab und wartet bis eine einwandfreie Soft- 

35 ware mit ordnungsgemaBer Signatur eingespielt worden ist. 

[0055] Neben dem oben beschriebenen Authentifizierungsablauf wird zur Authentifikatlon eines Kommunikations- ■ .. 
partners A gegeniiber einem Kommunikationspartners B haufig auch ein sogenanntes Challenge-Response-Verfahren 
verwendet. Dabei sendet B zunachst eine Zufallszahl RND an A. A signiert diese Zufallszahl mittels seines geheimen 
Schlussels und sendet diesen Wert als Antwort an B. B verifiziert die Antwort mittels seines offentlichen Schlussels 

40 und pruft die Authentiflzierung von A. 

[0056] Eine solche Authentifizierung ist in den Fig. 6a und 6b dargestellt. In Fig. 6a ist die Kommunikationsschleife 
zwischen einem Diagnosetester und einem Steuergerat dargestellt. Bei der Authentifizierung nach dem Challenge- 
Response-Verfahren sendet ein Benutzer mittels des Dlagnosetesters zunachst eine Information mit einem bestimmten 
Zugriffslevel LI an das Steuergerat und f ordert eine Zufallszahl von dem Steuergerat an (Schritt 400). Das Steuergerat 

45 antwortet mit der Obertragung einer Zufallszahl (Schritt 402). Im Diagnosetester wird die Zufallszahl mit einem gehei- 
men Schliissei signiert und dann wird das Ergebnls wieder an das Steuergerat geschickt (Schritt 404). Im Steuergerat 
wird aus der Signatur mithllfe des offentlichen Schlussels wiederum die Zufallszahl bestimmt. Stimmt die so errechnete 
Zahl mit der vorher vom Steuergerat ubermittelten Zufallszahl uberein, wird der Zugriff fur diesen Benutzer mit der 
gewunschten Slcherheitsstufe fur die Dauer des Diagnoseverfahrens f reigegeben. Damit kann er bei entsprechender 

so Sicherheitseinstufung ein Software in den Speicher eines Steuergerates einlesen. 

[0057] Nachfolgend wird die Individualisierung der Software fur ein bestimmtes Fahrzeug beschrieben. Bereits bei 
der Bezugnahme auf den Signiervorgang gemaB Fig. 4 wurde erwahnt, daB mit der Software eine Fahrzeugidentifi- 
kation ubermittelt wird, die lediglich auf ein bestimmtes Fahrzeug zutrifft. Die Software wird dann zusammen mit der 
Fahrzeugidentifikation (z.B. der Fahrgestellnummer) signiert und das Paket an den Handler zuruckgeschlckt. Die Si- 

55 gnatur ging dabei in den Hash-Code (beschrieben bei der Ausfiihrungsform gemaB der Fig. 3a und 3b) ein und be- 
einfluBt die Signatur entscheldend mit. 

[0058] Das Steuergerat akzeptiert - wie bereits oben beschrieben - nur eine korrekt signierte Software. Ist die Signatur 
korrekt, wird ferner uberpriift, ob die der Software zugeordnete Fahrzeugidentifikation mit derjenigen des Fahrzeug 
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tatsachlich ubereinstimmt. Wurde dies der Fall sein, so wilrde die Software frelgeschaltet. Mit dieser Vorgehenswelse 
kann die fahrzeuglndivldualisierte Software nur in einem bestimmten Zlelfahrzeug verwendet werden. Fur ein anderes 
Fahrzeug muB wiederum eine andere mit einer individuellen Signatur versehene Software beschafft werden. 
[0059] Um eine Individualisierung einer Software durchfuhren zu konnen, sollte die Fahrgestellnummer bereits in 

s der Fertigung in die entsprechenden Steuergerate in nicht manipulierbarer Welse elngetragen werden. Die Fahrge- 
stellnummer muB auch naoh einem Loschen eines Speichers noch in dem Steuergerat vorhanden seln. Dies kann 
daduroh realisiert werden, dal3 die Fahrgestellnummer beispieisweise in dem oben bereits erwahnten und besonders 
geschutzen Car-Access-System in einem nicht fliichtigen und nicht austauschbaren Speicher elngetragen ist. 
[0060] Folgende Vorgehensweise gemaB Fig. 5 sichert eine nicht manipullerbare Abfrage. Zusatzlich zur Fahrge- 

io stellnummer benotigt man ein weiteres fahrzeugindividuelles Schiiisselpaar bestehend aus einem geheimen Schlussel 
IFSs und einem offentlichen Schliissel IFSp. Die Zuordnung der Fahrgestellnummer und der beiden Schlussel erfolgt 
an zentraler Stelle, also in dem Trust-Center. Der geheime Schlussel IFSs Ist In einem Car-Access-System 210 ge- 
speichert und zwar in nicht auslesbarer Form. 

[0061] Die Fahrgestellnummer befindet sich auch heute bereits im Zugriffsbereich des Car-Access-Systems 210. 
15 [0062] In der neu einzuspielenden Software wird nun zusatzlich zur Fahrgestellnummer noch der offentliche fahr- 
zeugindividuelle Schlussel IFSp 202 hinterlegt (Schrltt 200 in Fig. 5). Danach wird die gesamte Software Im Trust- 
Center durch die Signatur 204 gesichert. Nach dem Einspielen der Software in das Steuergerat wird zunachst die 
Korrektheit der Signatur 204 gepriift. 

[0063] Danach iiberpruft das Steuergerat 206 mittels der vorher beschriebenen Challenge-Response-Abfrage, ob 
20 die Fahrgestellnummer in der Software mit derjenigen des Fahrzeugs ubereinstimmt. Dazu sendet das Steuergerat 
206 die in der Software enthaltene Fahrgestellnummer FGNsw und eine Zufallszahl RANDOM an das Car-Access- 
System 210. Dort wird die gespeicherte Fahrgestellnummer FGN mit der empfangenen Fahrgestellnummer FGNsw 
vergllchen. AnschlleBend werden die beiden Werte mit dem geheimen Schlussel IFSs signiert und wieder an das 
Steuergerat 206 zuriick gesendet. Das Steuergerat 206 kann nun mit dem offentlichen Schlussel IFSp die signierte 
25 Sendung iiberpriifen und die erhaltenen Werte mit dem Challenge-Wert vergleichen, der am Anfang an das Car-Ac- 
cess-System gesendet wurde. Stlmmen die Werte ubereln, so kann die Software akzeptiert werden (Schritt 21 6, o.k.). 
Ansonsten wird die Software nicht akzeptiert (Schritt 218, Nein). 

[0064] Als Variante dieses Verfahren kann anstelle eines individuellen Schlusselpaares IFSs und IFSp auch ein 
entsprechendes nicht fahrzeuglndividualisierr.es Schiiisselpaar, das bereits Im Fahrzeug gespeichert Ist, verwendet 

30 werden. Dadurch entfallt die Verwaltung fiir diesen Schlussel. Ebenso ist naturlich ein entsprechender Mechanismus 
mit einem symmetrischen kryptografischen Verfahren moglich. Dies hat zwar Vorteile bei der Abarbeitung, bringt aber 
die Gefahrdes Auslesens des symmetrischen Schlussels aus den Steuergeraten mit sich. 
[006S] Naturlich ist bei alien oben genannten Verfahren absolut slcherzustellen, daB die geheimen Schlussel des 
Trust-Centers auch geheim bleiben. Insgesamt bietet die vorgenannte Kryptografie eine gute Moglichkeit, nur ord- 

35 nungsgemSBe Software in Fahrzeuge, bzw. in bestimmte Fahrzeuge einzuspielen und somlt unbefugten Manipulatio- 
nen vorzubeugen. 



Patentanspruche 

40 

1. Verfahren zur Sicherstellung der Datenintegritat einer Software fur ein Steuergerat eines Kraftfahrzeugs, in dem 
in einem Speicher des Steuergerats eine das Steuergerat in seiner Wirkungsweise beeinflussende Software spei- 
cherbar ist, gekennzelchnet durch die Schritte: 

45 Bereitstellen eines Schlusselpaares zum Ver- und Entschliisseln von elektronischen Daten, 

Hinterlegen eines ersten Schlussels in einem Oder fur ein Steuergerat in dem Kraftfahrzeug, 
Signieren einer einzuspielenden Software mit dem zweiten Schlussel, 
Einspielen der signierten Software in den Speicher des Steuergerates, 

Oberpriifung der Signatur der Software mittels dem in oder fiir das Steuergerat hinterlegten Schlussel und 
so Akzeptieren der eingespielten Software, 

wenn die Oberpriifung mit positivem Ergebnis verlauft, 

2. Verfahren nach Anspruch 1 , 
dadurch gekennzelchnet, 

55 daB ein symmetrisches Schiiisselpaar verwendet wird, bei dem beide Schlussel gleich sind. 

3. Verfahren nach Anspruch 1 , 
dadurch gekennzelchnet, 



7 



EP 1 128 242 A2 



daB ein asymmetrisches Schliisselpaar mlt einem geheimen und einem offentllchen Schlussel verwendet wird. 

4. Verfahren nach Anspruch 3, 
dadurch gekennzeichnet, 

5 daB der offentllche Schlussel im oderfiir das Steuergerat hlnterlegt 1st und mlt dem geheimen Schlussel die Soft- 

ware signiert wird. 

5. Verfahren nach Anspruch 3, 
dadurch gekennzeichnet, 

10 daB das Fahrzeug, insbesondere das oder ein Steuergerat im Fahrzeug, ein asynchrones Schliisselpaar erzeugt, 
daB der geheime Schlussel im Fahrzeug, insbesondere in einem Steuergerat, hlnterlegt wird und daB der offent- 
liche Schlussel zum Signleren einer Software aus dem Fahrzeug auslesbar 1st. 

6. Verfahren nach einem der vorhergehenden Anspriiche, 
's dadurch gekennzeichnet, 

daB der im Steuergerat abgelegte Schlussel im Boot-Sektor abgelegt wird. 

7. Verfahren nach Anspruch 6, 
dadurch gekennzeichnet, 

20 daB der Bootsektor nach dem Beschreiben und der Eingabe des Schliissels abgesperrt wird und so gegen einen 
weiteren Zugriff, insbesondere einen Schreibzugriff, geschiitzt ist. 

8. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

ss daB die Software zunachst auf eine Information mit bestimmter Lange abgebildetwlrd und diese Information dann 
signiert wird. 

9. Verfahren nach Anspruch 8, 
dadurch gekennzeichnet, 

30 daB als Abbildungsfunktion eine Hash-Funktion gewahlt wird. 

10. Verfahren nach einem der vorhergehenden AnsprOche, 
dadurch gekennzeichnet, 

daB der Software zumindest eine fahrzeugindividuelle Information eines das Steuergerat enthaltenden Fahrzeugs 
35 hinzugefugtwird, daB mit derSoftware die zumindest eine fahrzeugindividuelle Information signiert wird, daB neben 

dem Oberpriifen der Signatur der Software auch die fahrzeugindividuelle Information uberpriift wird und daB die 
Software nur dann im Steuergerat akzeptiert wird, wenn auch die fahrzeugindividuelle Information der Software 
mit derjenigen des Fahrzeugs ubereinstimmt. 

40 11. Verfahren nach Anspruch 10, 
dadurch gekennzeichnet, 

daB zur Oberpriifung der fahrzeugindividuellen Information ein eigenes Schliisselpaar (fahrzeugindividuelles 
Schliisselpaar) erzeugt wird, wobei in einer Fahrzeugsicherheitseinheit die fahrzeugindividuelle Information und 
ein erster Schlussel des eigenen Schliisselpaares vorhanden sind, in derSoftware neben derfahrzeugindivlduellen 
45 Information noch der zweite Schliissel des eigenen Schliisselpaares abgelegt ist und in einer separaten Routine 

im Fahrzeug uberpriift wird, ob die beiden Schlussel des eigenen Schliisselpaares zusammenstimmen, urn bei 
einer Bejahung die eingesplelte Software zu akzeptieren. 

12. Verfahren nach einem der vorhergehenden Anspriiche, 
so dadurch gekennzeichnet, 

daB die Software zumindest beim erstmaligen Hochlaufen des Steuergerates gepriift und dann entsprechend 
gekennzeichnet wird. 

13. Verfahren nach einem der vorhergehenden Anspriiche, 
55 dadurch gekennzeichnet, 

daB bei einem externen Zugriff auf das Steuergerat eine Zugangseinheit prtift, ob eine Berechtigung fur den Zugriff 
vorllegt. 



8 



EP 1 128 242 A2 



14. Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

daB ein Code von einem Steuergerat angefordert wird und der Code auf Richtigkeit iiberpriift wlrd. 

15. Verfahren nach Anspruch 13 Oder 14, 
dadurch gekennzeichnet, 

daB eln Steuergerat eine Zufallszahl ausglbt, die von dem Zugreifer zu signieren ist und daB die Signatur Im 
Steuergerat, insbesondere mittels eines Authentifizierungsschliissels, uberpruft wlrd. 

16. Verfahren nach einem der Anspriiche 13 bis 15, 
dadurch gekennzeichnet, 

daB bei der Abfrage der Zugriffsberechtigung eine Berechtigungsstufe festgestellt wird und Zugriffsaktionen in 
Abhangigkeit von der Berechtigungsstufe akzeptiert oder nicht akzeptiert werden. 

17. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

daB eine Sicherheitseinrichtung in einem Fahrzeug zumindest sporadisch eine Authentitatspriifung eines Steuer- 
gerates durchfiihrt und das Steuergerat bei negativem Ergebnis registriert. 

18. Verfahren nach Anspruch 17, 
dadurch gekennzeichnet, 

daB Im Steuergerat ein steuergeratelndividueller geheimer Code hinterlegt ist. 

19. Verfahren nach Anspruch 17 oder 18, 
dadurch gekennzeichnet, 

daB die Sicherheitseinrichtung ein steuergeratespezifisches Merkmal abfragt und dieses auf AuthentitSt priift. 

20. Verfahren nach einem der Anspriiche 17 bis 19, 
dadurch gekennzeichnet, 

daB bei der Authentitatspriifung ein in der Sicherheitseinrichtung und/oder ein in dem Steuergerat hlnterlegter 
Schliissel verwendet wird. 
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